Transfer FSMO roles from dead DC to another server

Vì có một số bạn hỏi về trường hợp ADC dead nên tôi chia sẻ nhanh luôn, không lab dài dòng như hồi nhỏ ^^!

Nói sơ về lý thuyết một chút:  Trên môi trường Windows Server Active Directory domains sử dụng Single Operation Master gọi là FSMO (Flexible Single Master Operation),
Có 05 FSMO roles:

  • Schema master – Forest-wide and one per forest.
  • Domain naming master – Forest-wide and one per forest.
  • RID master – Domain-specific and one for each domain.
  • PDC – PDC Emulator is domain-specific and one for each domain.
  • Infrastructure master – Domain-specific and one for each domain.


FSMO RoleNumber of DCs holding this roleOriginal DC holding the FSMO role
SchemaOne per forestThe first DC in the first domain in the forest (i.e. the Forest Root Domain)
Domain NamingOne per forest
RIDOne per domainThe first DC in a domain (any domain, including the Forest Root Domain, any Tree Root Domain, or any Child Domain)
PDC EmulatorOne per domain
InfrastructureOne per domain
Dùng lệnh sau để xác định "đứa nào" đang nắm giữ 05 roles này:
C:\>netdom query fsmo

Dùng giao diện (GUI):


FSMO RoleWhich snap-in should I use?
SchemaSchema snap-in
Domain NamingAD Domains and Trusts snap-in
RIDAD Users and Computers snap-in
PDC Emulator
Infrastructure
Lan man lý thuyết nhiều, mệt óc ^^!

#Trường hợp thực tế 1

Công ty tui có 02 Window Server 2012 R2:

  • Primary Domain Controller:  dc01.vnsysadmin.local
  • Additional domain controller: dc02.vnsysadmin.local


Một ngày đẹp trời, DC01 lăn đùng ra ngủm, chết không rõ nguyên nhân. Tất cả mọi hoạt động chứng thực Users, Join domain, Policy...đề không hoạt động.

Giải quyết:
 ==> cưỡng chế 05 FSMO từ DC01 qua DC02
Kiểm tra trước khi cưỡng chế:

Trên DC02
C:\>netdom query fsmo
Schema master               DC01.vnsysadmin.local
Domain naming master        DC01.vnsysadmin.local
PDC                         DC01.vnsysadmin.local
RID pool manager            DC01.vnsysadmin.local
Infrastructure master       DC01.vnsysadmin.local
The command completed successfully.

Thực hiện cưỡng chế:
C:\>ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server dc02.vnsysadmin.local
Binding to dc02.vnsysadmin.local ...
Connected to dc02.vnsysadmin.local using credentials of locally logged on user.
server connections: quit
fsmo maintenance: seize schema master
fsmo maintenance: seize naming master    ----> Nếu là Windows 2000/2003: seize domain naming master
fsmo maintenance: seize RID master
fsmo maintenance: seize PDC
fsmo maintenance: seize infrastructure master

Kiểm tra sau khi cưỡng chế:

C:\>netdom query fsmo
Schema master               DC02.vnsysadmin.local
Domain naming master        DC02.vnsysadmin.local
PDC                         DC02.vnsysadmin.local
RID pool manager            DC02.vnsysadmin.local
Infrastructure master       DC02.vnsysadmin.local
The command completed successfully.

Xong! 05 FSMO roles đã được DC02 cưỡng đoạt thành công!

Bước tiếp theo là xóa DC01 (đã chết) khỏi hệ thống sử dụng lệnh hoặc ntdsutil /metadata cleanup hoặc dùng GUI (xem ở trên).

#Trường hợp thực tế 2

Thiết lập thêm một ADC khác để bảo đảm an toàn cho hệ thống.
- Cài đặt một con Server 2016 đặt tên là SVR01-DC
- Join domain:  SVR01-DC.lottemart.local
- Nâng cấp SVR01-Dc.vnsysadmin.local làm Additional domain controller
- Vì SVR01-DC.lottemart.local có cấu hình mạnh nên cần chuyển đổi 05 FSMO roles qua cho nó.

Các bước thực hiện thì cũng như việc cưỡng chế ở trên, nhưng ở trường hợp này là tự nguyện giao quyền chứ không có cưỡng đoạt!

Khác nhau về lệnh:
.....
server connections: connect to server svr01-dc.vnsysadmin.local
fsmo maintenance: transfer schema master
fsmo maintenance: transfer naming master
fsmo maintenance: transfer rid master
fsmo maintenance: transfer pdc
fsmo maintenance: transfer infrastructure master
..............

Kiểm tra sau khi transfer FSMO roles:

C:\>netdom query fsmo

Schema master SVR01-DC.vnsysadmin.local
Domain naming master        SVR01-DC.vnsysadmin.local
PDC                         SVR01-DC.vnsysadmin.local
RID pool manager            SVR01-DC.vnsysadmin.local
Infrastructure master       SVR01-DC.vnsysadmin.local
The command completed successfully.

Cơm thêm: để tránh ảnh hưởng đến các Users đang sử dụng DNS trỏ về IP của dc01.vnsysadmin.local (đã chết) thì các bạn nên kiểm tra DNS và trỏ các record của IP đó về SVR01-DC.lottemart.local 

Áp dụng trường hợp cần nâng cấp Active Directory lên các phiên bản hệ điều hành cao hơn như từ 2003/2008/2012/2016

Chúc may mắn!  :)




1 nhận xét :

  1. Chổ cơm thêm em chưa hiểu lắm , tức là đổi IP của SVR01-DC.lottemart.local về IP lúc đầu của dc01.vnsysadmin.local (đã chết) hả anh , để các user DNS lúc đầu không bị ảnh hưởng ?

    Trả lờiXóa

Các bạn có thể viết lời nhận xét cho bài viết, nhưng cần tuân thủ một số quy tắc sau:

» Các nhận xét/bình luận phải nghiêm túc, không dung tục, không spam.
» Nội dung phải liên quan tới chủ đề bài viết.
» Viết bằng tiếng việt có dấu hoặc tiếng Anh. Nội dung viết không dấu sẽ bị xóa.
» Hãy để lại tên của bạn khi nhận xét/bình luận, để tôi có thể dễ dàng trả lời bạn khi cần.